active directory
Download
Skip this Video
Download Presentation
Active Directory

Loading in 2 Seconds...

play fullscreen
1 / 35

Active Directory - PowerPoint PPT Presentation


  • 83 Views
  • Uploaded on

Active Directory. Im realisierten Einsatz. Option Consulting, Ernst Senn. Active Directory. Was ist es? Im Gegensatz zu WinNT 4.x Und dessen historischer Entwicklung Was enthält es? Vordefinitionen und Möglichkeit der Eigendefinitionen Was kann genutzt werden? Was muss genutzt werden?

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Active Directory' - berget


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
active directory

Active Directory

Im realisierten Einsatz

Option Consulting, Ernst Senn

active directory1
Active Directory
  • Was ist es?
    • Im Gegensatz zu WinNT 4.x
    • Und dessen historischer Entwicklung
    • Was enthält es?
    • Vordefinitionen und Möglichkeit der Eigendefinitionen
      • Was kann genutzt werden?
      • Was muss genutzt werden?
      • Was sollte nicht genutzt werden?
  • Welchen Nutzen haben wir davon?
      • Wir: das Unternehmen
      • Wir: die IT- Abteilung / IT-Operation
      • Wir: die Nutzer und Administratoren

Ernst Senn / Option Consulting / www.option.ch

heutige themenabgrenzung als einstieg in eine reihe von vortr gen
Heutige Themenabgrenzung als Einstieg in eine Reihe von Vorträgen
  • Überblick über die „alten“ Möglichkeiten und Unmöglichkeiten
  • Ausblick in eine mögliche Zukunft
  • Erarbeitung der nächsten Schritte zur Realisierung

Ernst Senn / Option Consulting / www.option.ch

globaler zusammenhang
Globaler Zusammenhang

Kontrolle

Freiheit

Lehre

Ressource

Benutzer

Sofware

Active Directory

Domäne

V & F

Rechner

Ernst Senn / Option Consulting / www.option.ch

ist zustand
Ist-Zustand
  • Jede Menge Arbeitsgruppen mit vielen Problembereichen;
    • meist durch eine echte Administration abstellbar
  • Viele Domänen mit Servern
    • Teilweise für nur 3 Workstations
  • Wenige Domänen mit den erforderlichen Backupservern (Stichwort Arbeitssicherheit)
  • Kaum Domänen mit ausreichendem Administrator-Management
  • Nahezu alle Domänen mit überflüssigen Administratoraufgaben

Ernst Senn / Option Consulting / www.option.ch

wie kam es dazu
Wie kam es dazu?
  • Früher war Windows nur unter Netbios nutzbar
    • NBT ist jetzt noch Standard
    • Keine zentrale Administrierung vorgesehen/möglich
  • Lieschen Müller Prinzip der Installation
  • Fehlendes Personal
  • Temporäre Delegation
  • Fluktuation
  • Fehlende Dokumentation
  • Besonders durch Fluktuation immer wieder Neuerfindung des Rades
  • Fehlende Qualifikation
  • kaum speziell für Administration eingestelltes Dauer-Personal

Ernst Senn / Option Consulting / www.option.ch

wie kam es dazu1
Wie kam es dazu?
  • Sehr starke Strukturierung der einzelnen Bereiche in der Universität
    • Hohes Bedürfnis zu Eigenständigkeit
    • Skepsis gegenüber Anderen
  • Zu geringes Sachwissen über Möglichkeiten und Unmöglichkeiten
    • Wenig Fach-Personal
    • Daraus resultierend teilweise
      • Falsche Vorstellungen über Einflussmöglichkeiten
      • Falsches Gefühl der Abhängigkeit von Anderen

Ernst Senn / Option Consulting / www.option.ch

arbeitsgruppe
Arbeitsgruppe
  • Typische Anwendung in Arbeitsgruppen
    • Vertrauen auf kleinster Basis
    • 2-er Beziehung
  • Zwischen Chef und Sekretariat möglich
  • In auch nur geringfügig größeren Verbünden nicht mehr administrierbar
  • Arbeitsgruppen sollen laut Definition
    • Nicht mehr als 15-25 Mitglieder (PC) haben
    • Nur in kleinen Netzen
    • Sind originär NETBIOS

Ernst Senn / Option Consulting / www.option.ch

gemeinsame nutzung von ressourcen in arbeitsgruppen
Gemeinsame Nutzung von Ressourcen in Arbeitsgruppen

PC1

Benutzer 1 muss bei Passwortänderungen 2 Systeme ändern

Benutzer 1 braucht was von PC2

PC2

Administrator von PC2 muss die gleiche Identifikation des Benutzers 1 auch auf PC2 einrichten

Eine Freigabe muss eingerichtet werden und dem Benutzer die Erlaubnis erteilt werden

Ernst Senn / Option Consulting / www.option.ch

zusammenfassung
Zusammenfassung
  • Ressourcennutzung über Arbeitsgruppen
    • ist kaum administrierbar
    • Ist nicht über Router/Gateway möglich, da NETBIOS nicht geroutet wird
      • Zufallsergebnisse bei Listen
    • Erzeugt unnötige Netzlast
      • Rundrufe
    • Erzeugt unnötige Wartezeiten
      • Ermitteln des momentanen Masters

Ernst Senn / Option Consulting / www.option.ch

unvollst ndige liste einiger arbeitsgruppen und dom nen
Unvollständige Liste einiger Arbeitsgruppen und Domänen

Ernst Senn / Option Consulting / www.option.ch

einschr nkungen in der vergangenheit
Einschränkungen in der Vergangenheit
  • Alte NT-Domänen waren flach
    • max 40.000 unabhängige Objekte (theoretisch)
      • das bedeutet, dass es innerhalb einer Domäne keinerlei Vererbungsmöglichkeiten gab.
      • Definition für Ressource 1 konnte nicht auf Ressource 2 angewendet/vererbt werden
      • Hoher Verwaltungsaufwand
  • Administration nicht delegierbar
    • Prinzip „Alles oder Nichts“
      • dadurch waren alle Gruppierungen gezwungen eigene Domänen zu erstellen, wenn es nicht möglich war, einen Ober-Administrator und allgemein geltende Systemrichtlinien zu konzipieren oder zu akzeptieren.
  • Für ALLES war die Domäne die Grenze

Ernst Senn / Option Consulting / www.option.ch

gemeinsame nutzung von ressourcen in dom nen
Gemeinsame Nutzung von Ressourcen in Domänen

PC1

Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen

Benutzer 1 braucht was von PC2

PC2

PC2 fragt PDC und erhält Erlaubnis

Administrator von PC2 muss nur eine Freigabe einrichten und Benutzer 1 eine Erlaubnis erteilen

PDC

Ernst Senn / Option Consulting / www.option.ch

einfachere nutzung von ressourcen in dom nen
Einfachere Nutzung von Ressourcen in Domänen

Benutzer 1 muss bei Passwortänderungen nichts berücksichtigen

PC1

Benutzer 1 braucht was von PC2

PC2

Administrator von PC2 muss nur eine Freigabe einrichten und Benutzergruppe 1 eine Erlaubnis erteilen

PC2 fragt PDC und erhält Erlaubnis

Account-Manager richtet eine Benutzergruppe ein und setzt Benutzer 1 als Mitglied ein

PDC

Ernst Senn / Option Consulting / www.option.ch

administrationsvorteile dom nen arbeitsgruppe
Administrationsvorteile Domänen / Arbeitsgruppe
  • Einmalige Einrichtung einer Benutzergruppe in der Domäne
  • Einmalige Einrichtung einer Freigabe auf einem PC mit Bezug auf Benutzergruppe
  • Einmalige Erlaubnisdefinition der Benutzergruppe in der Freigabe
  • Zukünftige Änderungen über Account-Manager der Domäne, der Mitglieder zur Gruppe hinzufügt oder entfernt
    • schlechte Verfügbarkeit durch 1 zentrale Stelle
    • es fehlt auch hier eine Delegationsmöglichkeit

Ernst Senn / Option Consulting / www.option.ch

berschreitung der dom nengrenze durch eine vertrauensstellung
Überschreitung der Domänengrenze durch eine Vertrauensstellung

Domäne A

Benötigt keine Benutzerdefinitionen

Wird Ressourcen-Domäne genannt

Ressource

Domäne B

Vertrauensstellung

Benutzer

Dieses Modell nennt Microsoft das Master-Domänen-Modell

Benutzergruppe

Pflegt nur Benutzerdefinitionen

Ernst Senn / Option Consulting / www.option.ch

kostenreduzierung durch vertrauensstellung
Kostenreduzierung durch Vertrauensstellung

Domäne A

UnidirektionalesVertrauen

PC2

Benutzer

Gefahr durch konkurrierende Benutzerverwaltung

PC1

Domäne B

PC3

UnidirektionalesVertrauen

Benutzer

Damit lassen sich PC-Bestände gemeinsam nutzen.

Kein admin darf irgendetwas in der anderen Domäne

Ernst Senn / Option Consulting / www.option.ch

die vergangenheit
Die Vergangenheit
  • Da keine Administration delegiert werden konnte, wurden Abgrenzungen durch neue Domänen erzeugt
  • Die Vielzahl der Domänen war in keiner Weise zentral oder koordiniert administrierbar
    • und auch der Zusammenhang
      • Rechte,
      • Berechtigungen,
      • Richtlinien,
      • Vertrauensstellungen,
      • gemeinsame Benutzerdefinitionen
    • war nicht zentral steuerbar oder koordinierbar.
  • Auch Administration zwischen wenigen Domänen geht nur begrenzte Zeit gut

Ernst Senn / Option Consulting / www.option.ch

dom nengrenzen beschr nkungen
Domänengrenzen/Beschränkungen
  • Eine Domäne
    • ist nicht weiter unterteilbar
    • Ist Grenze für alles
    • hat nur 1 Richtlinie für alles
    • kennt nur gleichberechtigte Administratoren
    • Ist nicht überführbar in eine andere Domäne
      • Erst zerstören, dann alle Einzelteile in die andere Domäne übernehmen
      •  absolut unflexibel!!

Ernst Senn / Option Consulting / www.option.ch

schwierigkeit der administration der vertrauensstellungen
Schwierigkeit der Administration der Vertrauensstellungen
  • Alle Vertrauensstellungen müssen per Hand eingegeben werden
  • Wenn Domäne A der B vertraut und umgekehrt, konnten sich die Benutzer der A an den Rechnern der B einloggen und umgekehrt.
  • Die Besitzer einer Ressource in A konnten Benutzergruppen aus A und B
    • Zugriffe gestatten
    • oder explizit verweigern.
    • Vertrauen heißt nicht Einflußnahme

Ernst Senn / Option Consulting / www.option.ch

vertrauensstellungen
Vertrauensstellungen

Domäne A

Domäne B

Domäne D

Domäne C

Alle Vertrauensstellungen erfordern je 1 Aktion des Administrators der jeweiligen Domäne

n! – Beziehungen müssen gepflegt werden

Ernst Senn / Option Consulting / www.option.ch

richtlinien probleme durch dom nengrenze
Richtlinien-Probleme durch Domänengrenze

Die in der Domäne A erforderlichen Richtlinien der Benutzer bei Nutzung der dortigen PC müssen in Domäne B installiert werden

Domäne A

PC2

Problem: Domäne B weiss nichts von PC1 und PC2. Richtlinien sind nicht erstellbar

PC1

Domäne B

PC3

Richtlinien der Domäne A werden nicht wirksam bei Benutzern der Domäne B

Administrator der Domäne A kann „seinen“ Benutzern nichts an allen PCx ändern

UnidirektionalesVertrauen

Benutzer

Sicherheitsrichtlinien wirken nur innerhalb 1 Domäne

Ernst Senn / Option Consulting / www.option.ch

probleme durch dom nengrenzen
Probleme durch Domänengrenzen
  • Im Endeffekt sind diese Probleme unter NT4 bis heute nicht nur bei uns nicht gelöst (Prinzip)
  • Gründe der Unlösbarkeit
    • Jeder Ressourcendomänen-Administrator hätte zum Administrator der Masterdomäne gemacht werden müssen – mit allen ungewünschten Konsequenzen
    • Alle Administratoren hätten 1 Definition gemeinsam nutzen und bearbeiten müssen
      • Die Definition wäre riesig geworden
      • Hätte zu lange Ladezeiten gehabt
      • Wäre bei vielfachen, konkurrierenden Änderungen und gegensätzlichen Ansichten nicht mehr handhabbar gewesen

Ernst Senn / Option Consulting / www.option.ch

heute mit active directory
Heute mit Active Directory
  • Erstmals hierarchische Struktur
    • Dadurch viele Delegationsmöglichkeiten
      • Ober- und Unteradministratoren für viele Teilgebiete konzipierbar, aber nicht erforderlich!
      • Abgrenzungen sind extrem variabel
    • Inhalt
      • Container
        • Können Container und Nicht-Container enthalten
      • Nicht-Container
        • Leafs – Endknoten; enthalten typischerweise Benutzer, Computer und/oder Gruppen-Objekte

Ernst Senn / Option Consulting / www.option.ch

inhalt des active directory
Inhalt des Active Directory
  • Der meistgebräuchliche Containertyp ist die Organisationseinheit (englisch: organisational unit = OU)
  • Alle Objekte im AD lassen sich eindeutig identifizieren durch eine Kennung - Global Unique Identifier GUID -,die bei der Erzeugung zugewiesen wird.
  • Eine GUID ist ein 128-stelliges Zahlenmonster.

Ernst Senn / Option Consulting / www.option.ch

objekte im active directory
Objekte im Active Directory
  • Jedes Objekt lässt sich über Active Directory Services Interface –ADSI-
      • programmgesteuert
      • scriptgesteuert
  • ansprechen und verwalten.
  • ADS-Pfade verwenden normalerweise die Syntax und Regeln, die das Lightweight Directory Access Protocol –LDAP- definiert

Ernst Senn / Option Consulting / www.option.ch

objektinhalte
Objektinhalte
  • Objekte können
    • Definitionen sein
    • Dokumentationen sein
    • Passiv sein, also durch andere Systemteile zu interpretierende Regeln sein
    • Aktiv sein, also selbst Programme oder Scripten sein, die auf passive Teile (Regeln) zugreifen
    • Dateisysteme sein, die z.B. zur Installation von Software dienen
    • U.s.w.

Ernst Senn / Option Consulting / www.option.ch

speicherort erf hardware
Speicherort – erf. Hardware
  • Es gibt keine explizite Trennung zwischen DC und BDC mehr
    • Erhöhte Sicherheit gegen Ausfall der Domäne
    • Weniger administrativer Aufwand im Problemfall
  • Wird auf alle BDC repliziert
  • Replizierung nur der geänderten Teile
  • AD ist 1 Verzeichnis auf dem DC
    • Teilweise erheblicher Platzbedarf
      • Im Prinzip keine Größengrenze mehr (40MB bei NT)
    • Sehr gute Plattenhardware erforderlich
      • Raidcontroller wird dringend angeraten
    • Doppelprozessor wird empfohlen
    • Gute Netzwerkanbindung ist unabdingbar (100MB)

Ernst Senn / Option Consulting / www.option.ch

demonstration
Demonstration
  • AD Lagerort
  • Vorschlag einer Domänenstruktur
  • Vorschlag einer OU-Struktur
  • Ergebnisse der Anwendung von unterschiedlichen Gruppenrichtlinien in unterschiedlichen OU am Beispiel der Pool-PC‘s

Ernst Senn / Option Consulting / www.option.ch

wunschtraum
Wunschtraum
  • 1 zentrale Domäne ausreichender Leistung
    • größtenteils realisiert; Ausbau aber sinnvoll
  • Beliebige Anzahl sog. OU
    • Könnten vollständig lokal administriert werden
      • Qualifiziertes Dauerpersonal mit EDV-Kenntnissen
      • ALLE Richtlinien lokal einrichtbar
      • Alle Software lokal einrichtbar bzw. administrierbar
    • Könnten statt dessen nach einem zu definierenden Standard einmalig zentral „vor“-administriert werden
      • Geringe lokale Dauerarbeiten
      • Geringe lokale EDV-Kenntnis notwendig
    • Beliebige Anzahl lokaler Server ohne domänenseitigen Administrationsbedarf in einer OU möglich

Ernst Senn / Option Consulting / www.option.ch

wunschtraum teil 2
Wunschtraum Teil 2
  • Sehr begrenzte Anzahl untergeordneter Domänen
    • Mit vollständiger Hardware (DC+BDC)
    • Nur mit qualifizierten Administratoren möglich
    • Mit beliebiger Anzahl von eigenen OU
  • Betrieb und Art des Betriebes von OU und Sub-Domänen sollten von Personalkapazität abhängig gemacht werden

Ernst Senn / Option Consulting / www.option.ch

was bleibt zu tun
Was bleibt zu tun?
  • Viel Administratives und viel neu zu Entdeckendes
  • Definition der zentralen Administrationsvorgaben
      • Für voll-administrierte OU
      • Für nicht administrierte OU
    • Laufende Unterstützung der Admin. Der vorhandenen Sub-Domänen und OU unabdingbar
  • Definitionen von OU und Sub-Domänen
      • Integration vorhandener Domänen unter möglichst vollständiger Eliminierung der NT4-Domänen
      • Erzeugung diverser OUs und der Sub-OU der Bereiche
        • Integration aller PC in die OUs
        • Umsetzung der Struktur auf Mitarbeiter
        • Definition der OU-Administratorenrechte

Ernst Senn / Option Consulting / www.option.ch

was bleibt zu tun1
Was bleibt zu tun?
  • Benennung „echter“ Administratoren in allen lokal gemanagten OU oder Sub-Domänen
  • Installation eines zentralen Grupperichtliniendienstes mit externer Unterstützung
  • Möglicher zentraler Softwaredienst für remote administrierbare Software (z.B. Windows 2000 oder MS-Office)
    • dadurch z.B. geringere Personalkosten
    • Gesicherte Verteilung und Installation von Updates, Service Packs und ganz wichtig!! Hot-Fixes
    • Vermeidung lokaler Probleme in den zentral administrierten Teilen, da defekte bzw. fehlende Softwareteile automatisch vom Betriebssystem aus dem zentralen Pool nachinstalliert werden

Ernst Senn / Option Consulting / www.option.ch

realisierbare w nsche
Realisierbare Wünsche
  • Sichere Datenübertragung
    • Weitgehende Eliminierung des NETBIOS
    • Alles auf reiner TCP/IP-Basis
      • Unter Domänenstruktur remote einstellbar
      • Unter Windows 2000 nur 2 Doppelklicks und 8 Klicks
      • Unter ME auch lokal einstellbar
      • Unter anderen Win9x-Systemen durch Nachinstallation und lokales Einstellen
      • Win 3.xy und DOS können hier nicht mehr genutzt werden
  • Unterbindung bekannter Hackermethoden
      • z.B. „Man in the middle attack“
      • Durch zentral ?erzwungenen? Einsatz der betriebssystemseitig vorhandenen Mechanismen (Software-Update-Service)

Ernst Senn / Option Consulting / www.option.ch

realisierbare w nsche1
Realisierbare Wünsche
  • Installation lokaler Zuständigkeiten
    • reine lokale Prüfaufgaben
      • Rechnernamen, TCP/IP-Einstellungen, Lizenzen
    • Zusätzliche Beratung und Überwachung
      • Lokale Updates,
  • muss fortgesetzt werden

Ernst Senn / Option Consulting / www.option.ch

ad